【IT168 专稿】站点安全策略是企业网设计的一个基本部分。它几乎和确定带宽需求或系统冗余一样重要。安全策略是对访问规则的重要设置，所需要访问某个机构的技术和信息资产的人员都应该遵守这些规则。安全策略应该由有权预算和制定策略的管理人员、知道什么服务可以支持和不可以支持的技术人员、熟悉不同策略在法律上有何区别的法律工作人员这几类关键代表人员来制定。一个成功的安全策略应该具备一些关键特性，如：能够在技术上实现;能够在企业中执行;在适当的时候必须能够使用安全工具来执行，在防范措施技术上不可行时能够通过约束来执行;必须明确规定用户、管理员和管理部门的职责范围;必须要足够的灵活性，能适应环境的变化等等。

　　安全策略不应该决定如何操作业务，而应该根据商业活动的性质来指导安全策略的制定。制定企业的安全策略看起来似乎很难，但如果能够在选择安全性方法之前就制定好安全策略，那么企业就可以避免在实施方法之后重新设计安全性。

　　如何入手进行检测

　　许多企业对于企业的环境中的安全程序都有现成的方针。这些方针可通过员工行为准则加以体现，准则从一定程度上概括了员工应该如何对待机密技术、知识产权和其他企业机密信息。由于这些方针是从业务角度来确定哪些信息对于企业是有价值的，因此可以成为建立企业网安全策略的基础。

　　对于现有的计算机网络，除了企业行为声明外，进行用户调查也可以收集到关于安全程序中可能存在的纰漏信息。调查可以从那些并无恶意，只是为了提高效率而破坏安全程序的人们那里获得许多宝贵的信息。调查结束后，应该对被破坏的安全程序进行再评估，以确定安全策略怎样才能达到实践中可实现的安全尺度。

　　应该认识到，商业机遇是驱动安全需求的最基本动力。如果一个企业没有太多机密需要保护——可能是由于网络上所有的信息和数据都不是机密的，且可以任意获取——那么，安全程序就可以很简单。但如果安全纰漏给商业带来负面影响(导致收入降低)的可能性越大，对安全策略的要求则越严格。